来自应用安全公司Veracode的最新研究表明,软件漏洞的定时炸弹效应变得越来越糟,有超过半数的软件没有达到可接受的安全标准。
该公司在第三期软件安全状况报告中揭露了将近5000个应用的安全情况。其中三分之一为内容管理程序,而操作,安全,财务和其他用户相关软件也在分析之列。这些软件根据其漏洞的严重程度和涉及业务的重要性来获得一定的分数,有58%的软件没有达到合格线。在漏洞类型方面,跨站脚本攻击漏洞的数量维持不变,SQL注入攻击漏洞略有下降。
该公司总裁称,Veracode还需要进一步对整个软件环境进行观察,对软件安全需求变得更有前瞻性。在评测指标中,还加入了软件的更新频率。
另外,Veracode发现,有超过80%的应用程序在发现包含漏洞之后,被开发者在一个月内修复,并重新提交样本进行测试。